第三者が奥まで入るサービスと入らないサービスには、どのような脅威がありますか?
「リスクグループ分析対策表」について質問があります。
第三者が奥まで入るサービスと、
第三者が奥まで入らないサービスのそれぞれについて、
どのような脅威がありますか?
まず、「奥まで入らない」、「奥まで入る」の定義を明確にする必要があるかと思います。
組織の物理的な環境によってもことなりますが、以下のような考えのもと、説明させていただきます。
「ISMS-A02-D03 適用範囲関連資料(見本).xls-フロア図」の「低レベル(受付スペースや打合せスペース)」と「中レベル、高レベル(作業スペース)」とを境として、「低レベル」までを「入らない」、「中レベル、高レベル」を「入る」とする。
「低レベル」では、公開情報(誰に見られてもOK)の資産しか置いておらず、「中レベル、高レベル」には、機密性の高い資産を置いているとする。
ちなみに、「奥まで入らない」第三者とは、「保険のおばちゃん」、「ヤクルトのおばちゃん」、「営業マン」、「運送会社(荷物が軽い場合)」などが想定されます。
「奥まで入る」第三者は、「運送会社(荷物が重い場合)」、「機器(コピー機やサーバ)メンテ業者」、「ビルメンテ業者(掃除のおばちゃん」、「電気・空調・防災関連の業者)」などが想定されます。
上記を踏まえ、物理的な環境によっても異なりますが、以下の様な脅威が考えられます。
「奥まで入らない」
(1)物理的にドア・壁などで完全に隔離されており、無線LANや有線LANを使用できる環境にない場合
脅威 → この場合の脅威としては、「強引な不法侵入」などが考えられます。
(2)物理的にドア・壁などで隔離されておらず、無線LANや有線LANを利用できる環境にある場合
脅威 → 不法侵入や盗難、盗聴、故意の損害などが考えられます。
「奥まで入る」
脅威 → 盗難、盗聴、故意の損害、記録媒体の不正使用、通信サービス(ネットワークサービス)の障害など
物理的に隔離された環境で、「奥まで入らない」場合であれば、その時点で脅威に対する管理策が実施されていると同じであるため、先にあげた「強引な不法侵入」などしか考えられないと思います。
なお、物理的に隔離されていない状態での「奥に入らない」場合や「奥に入る」場合であれば、先にあげた脅威の他、以下のような脅威も考えられます。
ハードウェアの故障
盗み見
記憶媒体の不正使用
不正なユーザによるソフトウェアの使用
不正な方法でのソフトウェアの使用
悪意のあるソフトウェア
など…
※脅威の例としては、「ISO27001要求事項理解のためのガイドブック」のリスクアセスメントの項(現行のものはP124)にある「GMITSによる脅威一覧」が参考になるかと思います。
